oracle之 oracle database vault(資料庫保險庫)
在12c建庫中 Database Vault 與 Label Security 選項,之前沒有留意過,特意記錄一下
12.1 中:
12.2 中:
轉載:http://www.linuxidc.com/Linux/2011-12/48689p2.htm
本篇包含如下內容:
· 什麼是Oracle Database Vault?
· Oracle Database Vault組成部分
· Oracle Database Vault遵循哪些規範
· Database Vault應對哪些內部威脅
· Oracle Database Vault允許制定靈活的安全策略
· Oracle Database Vault如何應對資料庫聯合
1.1 什麼是Oracle Database Vault?
Oracle Database Vault能夠限制任何使用者訪問資料庫中的特定區域,包括擁有管理(administrative)許可權在內的使用者,例如,你可以限制管理員訪問員工薪水、客戶醫療記錄、或者其他敏感資訊。
這樣你就可以針對你的敏感資料以多種方式來應用細粒度的訪問控制,它加固Oracle資料庫例項,同時加強了分離傳統高許可權使用者職責的這個業界最佳實踐。更重要的是,它使你的資料免遭特權使用者損壞,同時又允許他們維護Oracle資料庫。Oracle Database Vault是你的企業不可分割的一部分。
通過Oracle Database Vault,你可以解決現在仍然是最困難的安全問題:保護資料免遭內部威脅,滿足通常的合規要求,加強職責隔離。
你可以配置Oracle Database Vault去管理獨立的Oracle資料庫例項的安全。你可以安裝Oracle Database Vault到一個獨立的Oracle資料庫裝置上、多個Oracle home下、以及Oracle RAC環境中。
更多關於Oracle Database Vault的FAQ請訪問如下連結:
http://www.oracle.com/technology/deploy/security/database-security/database-vault/dbv_faq.html
更多OTN上關於Oracle Database Vault的資訊請訪問如下連結:
http://www.oracle.com/technology/deploy/security/database-security/database-vault/index.html
1.2 Oracle Database Vault組成部分
Oracle Database Vault包含如下部分:
· Oracle Database Vault 訪問控制元件
· Oracle Database Vault 管理員元件(DVA)
· Oracle Database Vault配置助手(DVCA)
· Oracle Database Vault DVSYS和 DVF Schemas
· Oracle Database Vault PL/SQL介面和開發包
· Oracle Database Vault和Oracle Label Security PL/SQL APIs
· Oracle Database Vault 監控和報告工具
1.2.1 Oracle Database Vault訪問控制元件
Oracle Database Vault使你能夠建立如下元件來保護你的資料庫例項的安全:
· 域:域是需要被保護的資料庫schemal、物件、角色的一個功能上的集合。例如:你可以將和賬戶、銷售、或者人力資源相關的資料庫schemal、物件、角色組成一個域。當你將這些組成一個域後,你可以使用域來控制賦給特定賬戶或者角色的系統許可權的使用。這樣你就可以給任何想使用這些資料庫schemal、物件、角色的使用者提供細粒度的訪問控制。Chapter 4, "Configuring Realms" 詳細討論了域。.
· 命令規則:命令規則是一個特殊的規則,通過這個規則,你可以控制使用者如何執行他們能夠執行的幾乎所有的SQL語句,包括SELECT, ALTER SYSTEM, database definition language (DDL), 和data manipulation language (DML)語句.命令規則必須和規則集一起決定某個語句是否允許執行。Chapter 6, "Configuring Command Rules" 詳細討論了規則集.
· 因素:因素是一個命名變數或者屬性,例如使用者位置、資料庫IP地址、會話使用者,這些因素是Oracle Database Vault能夠識別和保護的。你可以針對使用者活動使用這些因素,例如授權資料庫賬戶連結到資料庫,或者建立過濾邏輯條件來限制資料的可見性和可管理性。每個因素可以包含一個或者多個標識,標識是因素的具體的值。一個因素可以包含多個標識,這取決於因素的檢索方法或者它的對映邏輯。Chapter 7, "Configuring Factors" 詳細討論了因素.
· 規則集:規則集是一個或者多個規則的集合,你可以將規則集和一個域的授權、命令規則、因素指派、或者安全應用角色關聯起來。規則集基於其中的每個規則的計算值以及規則的計算方式(所有為真或者任意為真)。規則集中的規則是一個結果為“true”或“false”的PL/SQL表示式。Chapter 5, "Configuring Rule Sets"詳細討論了規則集。
· 安全應用角色:一個安全應用角色是一個特殊的Oracle資料庫角色,它可以基於Oracle database vault規則集的計算結果啟用。Chapter 8, "Configuring Secure Application Roles for Oracle Database Vault"詳細討論了安全應用角色。
為了加強這些元件的功能,Oracle Database vault提供了一系列的PL/SQL介面和包。"Oracle Database Vault PL/SQL Interfaces and Packages" 提供了一個概括的介紹.
通常情況下,你要做的第一步是建立一個包含你想保護的schema或者資料庫物件的域,然後你就可以通過建立規則、命令規則、因素、標識、規則集、安全應用角色來保護你的域。除此以外,你可以執行報告工具來報告這些元件監控和保護的活動。Chapter 3, "Getting Started with Oracle Database Vault"提供了一個簡單的指南,可以使你熟悉Oracle Database Vault的功能,Chapter 16, "Oracle Database Vault Reports"提供了更多關於如何執行報告來檢查配置和其它Oracle Database Vault 完成的活動。
1.2.2 Oracle Database Vault管理員(DVA)
Oracle Database Vault 管理員是一個基於Oracle Database Vault的PL/SQL API構建的Java程式。這個程式可以讓不熟悉PL/SQL介面的安全管理者通過友好的使用者介面來配置訪問控制策略。Oracle Database Vault管理員程式提供了眾多的安全相關的報告,這些報告可以幫助瞭解基準的安全配置。這些報告同時也有助於指出與基準配置相比,當前配置有哪些變化。
Chapter 4 到 Chapter 9解釋瞭如何通過Oracle database Vault管理員程式來配置訪問策略,以及如何將Oracle Database Vault與其它Oracle產品整合起來. Chapter 16, "Oracle Database Vault Reports" 解釋了Oracle Database Vault報告.
1.2.3 Oracle Database Vault 配置助手 (DVCA)
為了執行維護任務,可以使用命令列工具Oracle Database Vault配置助手(DVCA).更多資訊請參考Appendix C, "Postinstallation Oracle Database Vault Procedures".
1.2.4 Oracle Database Vault DVSYS and DVF Schemas
Oracle Database Vault 提供了DVSYS這個schema來儲存所有需要Oracle Database Vault保護的資料庫物件。DVSYS schema包含角色、檢視、賬戶、函式、以及其它Oracle Database Vault使用的資料庫物件。DVF schema包含一些公共函式,這些函式用於從Oracle Database Vault訪問控制配置中讀取因素值的集合。
Chapter 10, "Oracle Database Vault Objects" 詳細描述了這兩個schema.
1.2.5 Oracle Database Vault PL/SQL 介面和包
Oracle Database Vault提供了一個PL/SQL介面和包,讓安全管理員或者應用程式開發者按需配置訪問控制策略。PL/SQL儲存過程和函式使得普通的資料庫賬戶能夠在一個資料庫會話上下文中在訪問控制策略邊界裡進行操作。
參考Chapter 14, "Using the Oracle Database Vault PL/SQL Interfaces" and Chapter 11, "Using the DVSYS.DBMS_MACADM Package"獲取更多資訊.
1.2.6 Oracle Database Vault 和Oracle Label Security PL/SQL APIs
Oracle Database Vault提供了能夠和Oracle Label Security整合的訪問控制能力。Oracle Label Security是和Oracle Enterprise Manager Database Control整合的,Oracle Enterprise Manager Database Control能夠讓安全管理員定義應用到資料庫物件的標籤安全策略。Oracle Label Security同樣提供了一組可以供資料庫應用程式開發者用來提供標籤安全策略的PL/SQL API
參考 "Integrating Oracle Database Vault with Oracle Label Security" 獲取更多關於Oracle Database Vault和Oracle Label Security如何配合的資訊. 參考 Oracle Label Security Administrator's Guide 獲取更多關於Oracle Policy Manager的資訊.
1.2.7 Oracle Database Vault 報告和監控工具
你可以根據Oracle Database Vault監控的不同的活動來生成報告,你可以監控策略的改變、異常的安全嘗試、資料庫配置和結構的變化。
參考 Chapter 16, "Oracle Database Vault Reports" 獲取更多關於你可以生成的報告的資訊. Chapter 15, "Monitoring Oracle Database Vault" 解釋瞭如何監控Oracle Database Vault.
1.3 Oracle Database Vault遵循哪些規範
對規章制度的順從的一個最大的好處是安全意識。歷史上,關於資訊科技部門的關注重點在可獲得性和效能上面,而對遵守規章制度的關注要求每個人退後一步,然後從安全的角度看看他們的IT基礎設施、資料庫、應用程式。通常的問題包括:
· 誰能夠訪問這些資訊?
· 敏感資訊儲存在哪裡?
法律法規如Sarbanes-Oxley Act, Health Insurance Portability and Accountability Act (HIPAA), International Convergence of Capital Measurement and Capital Standards: a Revised Framework (Basel II), Japan Privacy Law, Payment Card Industry Data Security Standard (PCI DSS), and the European Union Directive on Privacy and Electronic Communications都含有一些常見的主題,例如內部控制、職責分離,以及訪問控制。
然而,對於像Sarbanes-Oxley and HIPAA這些法規來說,最大的挑戰是程式上的,剩餘的部分可能需要技術投資。法律規章中一個常見的安全需求是嚴厲的內部控制。Oracle Database Vault能夠幫助組織達到要求的程度隨不同的法律規章而變化。通常情況下,Oracle Database Vault域、職責分離、命令集、因素總體上有助於減少全世界的法律規章規定的安全威脅。
Table 1-1列出了法律規章給出的潛在的安全威脅
Table 1-1法律規章給出的潛在的安全威脅
|
Regulation |
Potential Security Threat |
|
Sarbanes-Oxley Section 302 |
未經授權修改資料 |
|
Sarbanes-Oxley Section 404 |
修改資料,未經授權訪問 |
|
Sarbanes-Oxley Section 409 |
拒絕服務,未經授權訪問 |
|
Gramm-Leach-Bliley |
未經授權訪問, 修改,檢視 |
|
Health Insurance Portability and Accountability Act (HIPAA) 164.306 |
未經授權訪問 |
|
HIPAA 164.312 |
未經授權訪問 |
|
Basel II – Internal Risk Management |
未經授權訪問 |
|
CFR Part 11 |
未經授權訪問 |
|
Japan Privacy Law |
未經授權訪問 |
|
EU Directive on Privacy and Electronic Communications |
未經授權訪問 |
|
Payment Card Industry Data Security Standard (PCI DSS) |
未經授權修改資料 |
1.4 Database Vault應對哪些內部威脅
多年來,蠕蟲、病毒,和外部入侵者(黑客)被認為是計算機系統最大的威脅。不幸的是,經常被忽視的是可信使用者以及特權使用者可能盜竊或者修改資料。
Oracle Database Vault使用域、因素、命令規則來應對內部威脅。這些手段合起來提供強大的安全工具來幫助保護對資料庫、應用程式、敏感資料的訪問。你可以結合規則和因素來控制在什麼樣的條件下資料庫命令能夠被執行,控制被域保護的資料的訪問。例如,你可以基於IP地址、時間日期、特定的應用程式來建立規則和因素來控制對資料的訪問。這樣可以限制只能由滿足條件的連線才能夠訪問資料,以此來防止未經授權訪問應用資料和為經授權的應用訪問資料庫。
Oracle Database Vault提供一些內建的因素,你可以將其與規則結合來控制資料庫訪問、域保護應用、以及資料庫內部的命令。
你可以將規則以及因素和幾十個資料庫內部命令關聯起來,提供更強的資料庫內部控制。你可以定製這些手段來滿足你的操作策略。例如,你可以定義一個規則來限制特定IP地址特定主機名稱執行ALTER SYSTEM語句。
1.5 Oracle Database Vault允許制定靈活的安全策略
Oracle Database Vault可以幫助你為你的資料庫設計靈活的安全策略。例如,任何具有DBA角色的資料庫使用者,如SYSTEM,能夠修改資料庫的基本引數。加入一個有系統特權的菜鳥管理員決定啟動新的redo log檔案,但是他並沒有意識到在特定的時間進行那樣操作會導致資料庫出問題。通過Oracle Database Vault,你可以建立一個限制使用ALTER SYSTEM SWITCH LOGFILE的命令規則來防止這樣的使用者做這樣的操作。
除此以外,你也可以將規則繫結到命令規則上,以此來多方面的限制活動,例如,按照如下方式限制語句的執行:
· 按照時間(例如,只能在週五下午4~5點執行)
· 只能本地訪問, 即不允許遠端訪問
· 按照IP地址(例如,只允許每個特定範圍的IP地址訪問)
通過這種方式,你可以很小心的控制和保護你的系統。你可以按照你的需要啟用或者禁止命令規則,你也可以通過Oracle Database Vault管理員工具非常容易的集中維護命令規則。
1.6 Oracle Database Vault如何應對資料庫聯合
Oracle的客戶擁有數百甚至數千分佈在企業或者全球的資料庫。因此,資料庫合併在未來的幾年將持續作為一個成本節約策略。分散式的資料庫架構提供的物理安全在合併環境中也必須具備。Oracle Database Vault提出了關於資料庫合併的主要關注點。
Figure 1-1 表明了Oracle Database Vault 如何應對這些關注點:
· 管理特權賬戶訪問應用資料: 這種情況下,Oracle Database Vault 防止DBA訪問由FIN域保護的schema。儘管DBA是最強大和可信的使用者,但DBA並不需要訪問資料庫中的應用資料。
· 應用資料訪問的職責分離: 這種情況下,由Oracle Database Vault 建立的,FIN域擁有者,能夠訪問FIN域的schema.
Figure 1-1 Oracle Database Vault 安全
Description of "Figure 1-1 Oracle Database Vault Security"
資料庫合併導致很多強大的使用者賬號駐留在單個資料庫中。這意味著除了整個資料庫的DBA,各個應用schema的擁有者也具有強大的特權。廢除一些特權將反過來影響已有的應用。通過Oracle Database Vault域,你可以通過可信路徑、防止未經授權的使用者使用特權檢視資料兩個手段來加強對應用資料的訪問。例如,可以防止擁有SELECT ANY TABLE特權的DBA使用這個特權來檢視應用資料。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31383567/viewspace-2144935/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- ORACLE database vaultOracleDatabase
- 初識 "Oracle Database Vault"OracleDatabase
- Oracle大會PPT 用Oracle Database Vault 保護你的資料OracleDatabase
- oracle 之資料庫核查Oracle資料庫
- 關於Oracle Database Vault介紹OracleDatabase
- Oracle 資料庫重放(Database Replay)功能演示Oracle資料庫Database
- oracle 11g Oracle Database Vault 的配置方法OracleDatabase
- Oracle Database 12c可插拔資料庫案例OracleDatabase資料庫
- Oracle 之 Duplicate 複製資料庫Oracle資料庫
- oracle之rman恢復資料庫Oracle資料庫
- Oracle 資料庫Oracle資料庫
- oracle10g database vault 訪問Realms相關的資料字典OracleDatabase
- 【轉】Oracle資料庫優化之資料庫磁碟I/OOracle資料庫優化
- 手工建立oracle示例資料庫schema (Database Examples 安裝)Oracle資料庫Database
- 不同Oracle資料庫之間的資料同步Oracle資料庫
- 「Oracle」Oracle 資料庫安裝Oracle資料庫
- 常見資料庫系統比較之Oracle資料庫(轉)資料庫Oracle
- Oracle資料庫恢復之resetlogsOracle資料庫
- ORACLE之檢視資料庫的SQLOracle資料庫SQL
- Oracle 12c 新特性之 資料庫內歸檔(In-Database Archiving)Oracle資料庫Database
- oracle12c新特點之可插拔資料庫(Pluggable Database,PDB)Oracle資料庫Database
- 資料庫-oracle-資料庫遷移資料庫Oracle
- oracle create database link_資料庫連結測試OracleDatabase資料庫
- Database Support Engineer Oracle資料庫支援工程師手冊DatabaseOracle資料庫工程師
- oracle資料庫卡頓Oracle資料庫
- oracle資料庫SCNOracle資料庫
- Oracle資料庫效能Oracle資料庫
- 理解ORACLE資料庫Oracle資料庫
- Oracle資料庫管理Oracle資料庫
- Audit Vault and Database VaultDatabase
- 紹Oracle資料庫的最佳化之資料庫磁碟I/OOracle資料庫
- 利用DATABASE VAULT保護敏感資料Database
- Oracle Database 12c新特性 In-Database Archiving資料庫內歸檔OracleDatabase資料庫
- 「Oracle」Oracle資料庫基本概念Oracle資料庫
- 「Oracle」Oracle 資料庫基本概念Oracle資料庫
- Oracle例項和Oracle資料庫Oracle資料庫
- Oracle資料庫-----資料庫的基本概念Oracle資料庫
- oracle 備份資料庫,匯出資料庫Oracle資料庫